Chine & USA : vers une évolution des moeurs ?

Un nouveau rapport portant sur les stratégies de défense relatives au domaine du cyberespace portés respectivement par la Chine et les Etats-Unis est l'occasion de repenser quelque peu les relations ambiguës des deux pays sur ce sujet ainsi que de questionner la réalité.

Ainsi, il est désormais commun de pointer du doigts la la Chine ou certains de ses ressortissants qui entretiendraient des liens plus ou moins forts avec certains services gouvernementaux. La réalité semble également se prêter au jeu avec un certain humour puisque la moindre recherche que l'on pourrait effectuer sur un spam ou un phishing reçu dans votre boite mail a de fortes chances de vous indiquer une ressource "chinoise" dans certaines phases de la recherche.

Toutefois, loin des lieux communs, de nombreux avis commencent à se faire entendre pour proposer une vision différente de la réalité. Un premier pas a été franchi lorsque certaines études ont pu montrer la faiblesse réelle des systèmes informatiques chinois que l'usage massif de contrefaçon associé à des pratiques de sécurité laxistes rendaient particulièrement vulnérables. Ainsi, Security Vibes relate les mésaventures de certains services officiels lorsque certains éditeurs empêchent des copies pirates de fonctionner. Un autre rapport dont nous nous faisions l'écho montrait également une approche plus prudente de cette réalité dépeinte comme très agressive.

D'autres aspects, comme la culture, sont à prendre en compte. Ainsi, la définition de la protection l'information participe de visions parfois opposées. Ainsi, ce que nous dénommons censure n'est qu'un aspect de la protection de l'information jugée nécessaire dans le pays. Un autre aspect est celui de la lutte autour des idées et James Lewis rappelle que certains journaux politiques américains peuvent être considéré comme une "arme informationnelle" en Chine.

Le même James Lewis rapporte également un échange avec un responsable chinois selon lequel les pays se regarderaient en chiens de faïence, chacun connaissant tout à la fois l'étendue de ses points faibles et celui de l'autre en étant conscient d'être ainsi "observés". Une situation complexe qui n'est pas sans rappeler certains épisodes de la Guerre Froide.

Conscient des enjeux et des positions respectives des deux pays, le rapport évoqué au début de cet article propose ainsi aux deux pays d'échanger et de discuter sur ces sujets. Les lecteurs avertis de ces situations savent que la Russie et les Etats-Unis ont déjà entamé une série de pourparlers qui semblent en apparence bilatéraux. Les analyses du rapport et des articles insistent ainsi sur la nécessité d'avoir une approche multilatérale qui permettrait par exemple de mettre à plat un certain vocabulaire mais également de commencer des collaborations sur des bases et des besoins communs (criminalité, pédopornographie...).

Nous reviendrons dans un autre article sur le contenu précis du rapport qui invite les pays à se départir d'une attitude empreinte de méfiance pour un rapprochement concerté. Une occasion d'approfondir les liens de la Chine avec la lutte informatique !

Source :

http://www.nextgov.com/nextgov/ng_20120228_6587.php

http://www.securityvibes.fr/cyber-pouvoirs/chine-cyberguerre-espionnage/

https://threatpost.com/en_us/blogs/despite-intrusions-chances-us-china-cyber-war-are-small-030112

OTAN : cérémonie de lancement du NCIRC FOC

Le 8 mars a été l'occasion pour l'OTAN, et plus particulièrement l'entité chargé des questions de réseaux et de systèmes d'informations, le NC3A qui a la charge plus général de nombre de questions technologiques qui ont des impacts sur les activités de l'organisation.

Le 8 mars 2012 a donc été créé ou lancé une composante supplémentaire des capacités de l'OTAN : le NCIRC FOC. Sous ce raccourci barbare se cache le nom suivant : NATO Computer Incident Response Capability, Full Operational Capability.

Il s'agit d'après l'article de procurer à l'organisation une capacité à faire fonctionner un CIRT ou un CERT, bien qu'il existe de subtiles différences entre les deux. En bref, l'idée est de disposer d'une capacité de réaction rapide en cas d'attaques informatiques ou de problématiques liées à la cyber-défense.

L'entité devra également assurer des actions complémentaires : mettre en place une série de senseurs, sondes et autres éléments permettant de mesurer l'activité des système en termes de sécurité, procurer des éléments permettant aux décideurs de prendre plus facilement des décisions liées à la sécurité ou la cyber-défense ou encore préparer des "kits" pour des futures Cyber Rapid Reactions Teams.

Dotée d'un budget de 58 millions d'euros, plus gros budget cyber-défense de l'organisation, la capacité sera assuré par un contractant privé, en l'occurence, un conglomérat formé de Finmeccanica, SELEX Elsag, VEGA et Northrup Grumman Corporation. Le contrat est prévu pour une durée de 5 ans.

Se doter d'une telle capacité augure positivement des capacités intrinsèques de l'Alliance même si on aurait pu s'attendre à ce qu'elle soit construite sur des ressources internes et non privées. Le cadre spécifique de l'OTAN et son action importante en matière de cyber-défense emportent peut-être des enjeux particuliers. Il faudra donc le voir à l'oeuvre...si possible !

Source: dans le texte

Illustration de la perception de la menace Anonymous

La menace représentée par le collectif Anonymous ne cesse d'inquiéter et les récentes actualités, en particulier suite aux actions contre le service de stockage en ligne MegaUpload et son fondateur, ne font que renforcer les inquiétudes et interrogations.

Cette menace, comme toute éléments potentiellement malveillant à l'encontre d'un intérêt, doit être comprise et représentée pour être intelligible et partagée. C'est ce que nous pourrions appeler la perception de la menace que nous souhaitons illustrer ici.

Cette menace peut ainsi être évaluée en termes de capacités, de puissance ou encore de nuisance. L'avertissement, par le directeur de la NSA, sur d'éventuels projets d'atteintes aux réseaux électriques des Etats-Unis par ces collectifs peut ainsi être interprété comme une représentation de cette menace.

Notons toutefois que de telles capacités ne sont pas à la portée du premier venu et l'on pourrait se demander s'il n'existe pas des tentatives d'instrumentalisation à des fins diverses comme semble l'évoquer certains.

D'autres indices figurent également dans les études qui sont menées. Ainsi, la société Imperva s'est intéressée à une attaque attribuée à ce collectif afin d'en comprendre l'organisation et les ressorts.

De ces conclusions ressortent le fait que le groupe semble constitué de plusieurs niveaux de capacité et de responsabilité, avec des hackers de très bon niveau et des exécutants bien moins aguerris techniquement.

Le graphique ci-dessous représente également le chronologie d'une de ces "opérations" régulièrement menées par le groupuscule.

Ces quelques éléments illustrent la manière dont nous nous représentons cette menace qui possède, il est vrai, des caractères assez originaux qui la rendent difficile à cerner. Elle n'est pourtant pas forcément une représentation juste ou encore conforme à la complexité de la réalité.

Un récent article d'Adam Segal évoque ainsi la problématique des "cyber-milices" que certains pays peuvent utiliser en manipulant des égos ou des sentiments patriotiques. Le caractère non-officiel, parfois fortement revendicatif, peut ainsi cacher d'autres volontés ou intérêts non mis en avant. D'après ma lecture, l'auteur conclue sur une forme de dangerosité de ces cyber-mafia, très utile pour dissimuler des liens non avouables, mais complètement incontrôlables par la suite.

Il est ainsi fort possible de trouver des composants du groupuscule que nous évoquons ici, ce qui doit faire prendre conscience de la difficulté, non seulement de représenter cette menace, mais aussi des biais fréquents utilisés dans les analyses.

La prudence s'impose donc !

Source :

http://www.zdnet.fr/actualites/les-services-secrets-americains-voient-ils-dans-anonymous-un-danger-39768826.htm#xtor=EPR-105

http://online.wsj.com/article_email/SB10001424052970204059804577229390105521090-lMyQjAxMTAyMDIwMDEyNDAyWj.html

http://www.zdnet.fr/actualites/blackout-d-internet-le-31-mars-les-anonymous-repondent-non-39768872.htm#xtor=EPR-105

Café Stratégique 14 - Journalisme de guerre : enjeux et défis

Le renouveau de la Gouvernance, c'est maintenant !

Edit :

A noter la très ferme prise de position de M. Eric Schmidt qui dénonce dans ses propos ce projet de révision du traité de 1998 (pour y inclure Internet) notamment en évoquant les risques qu'il y voit...

http://www.zdnet.co.uk/news/regulation/2012/02/29/schmidt-un-treaty-a-disaster-for-the-internet-40095155/

=======================================================

Le 27 février devrait débuter à Genève une série de négociations relatives au futur d'Internet et en particulier sur son système de gouvernance.

Les lecteurs qui suivent un peu nos écrits auront décelé l'exagération du titre (mais il faut bien publier :) ) ainsi qu'une erreur dans la première phrase. Bien évidemment, cette série de négociations n'a rien de bien nouveau car elle s'insère dans une dynamique visant à modifier drastiquement les enjeux de pouvoirs au sein de ce système de gestion de ressources du Net.

Les échanges diplomatiques relatifs à Internet peuvent être, selon moi, classés en deux catégories : une première relative aux conflits intéressant l'information et l'informatique dont nous avons déjà parlé et une seconde relative aux enjeux de possession et de contrôle sur les infrastructures techniques et de décisions qui font encore aujourd'hui l'Internet que nous connaissons. Ceci a longuement été évoqué dans divers articles précédents.

En particulier, la Chine et la Russie ont depuis longtemps promu des approches différentes en insistant sur la nécessité de donner un caractère internationale et surtout inter-gouveremental à ce qui est parfois considéré comme relevant d'un bien commun. Dans cette acceptation, l'organisme de régulation tout désigné serait évidemment l'UIT ou Union International des Télécommunications qui relève de l'ONU. A l'instar de l'assemblée onusienne, la représentation au sein de l'UIT connait des équilibres de pouvoirs différents et surtout, l'organisation est présidée par un secrétaire dont les amitiés envers la Russie sont notoires...pour y avoir fait une bonne partie de son éducation supérieure (c'est anecdotique certes mais éclairant).

Et les enjeux sont relativement importants car bien que, depuis 1988, le traité écartant Internet de la régulation des télécoms ait permis justement l'essort qu'on lui connait aujourd'hui, force est de reconnaître que de nombreuses pressions poussent à l'évolution du système. Ainsi sont parfois évoqués la main-mise des Etats-Unis sur le système, certaines incapacités à le faire évoluer ou encore la balkanisation de l'Internet...

Une opinion toute personnelle est que le système a assuré jusqu'à aujourd'hui de nombreux services et mêmes certaines évolutions majeures comme le DNSSEC. De même, il n'est pas sur du tout que l'ensemble des pays soit bien conscient de ce qu'ils doivent au Net et de la perte que pourrait constituer un aspect balkanisé...Cela sans compter la technologie qui peut, parfois, bouleverser l'approche géopolitique de la chose.

Et pourtant, les ambitions des pays soutenant cette approche bien particulière des choses sont parfois considérables. Ainsi, les objets de régulation sous contrôle de l'UIT pourront être :

=> la cyber-sécurité et les données personnelles

=> développer diverses pratiques tarifaires et de régulation en ce qui concerne l'échange de trafic internationaux : téléphonie, peering, usage différencié suivant les réseaux de transits utilisés...

=> subordonner l'ICANN et ses fonctions techniques de régulation à diverses autorités de l'UIT

Ces quelques mesures sont un peu plus détaillées par l'article (cf. ci-dessous) du Wall Street Journal qui les tient d'une liste de propositions établies pour un sommet précédent, à Dubaï. Il est vrai que l'on pourrait craindre pour certaines des qualités de l'Internet dans sa conception actuelle et notamment la neutralité.

Ces discussions et évolutions sont de nature à bouleverser profondément l'écosystème d'Internet et de sa gouvernance et sonne comme un retour en force de l'Etat au sein du système international. Il demeure très intéressant, à mon sens, de s'intéresser de près à ce qui pourrait être, ou non, un changement très profond.

Source :

http://tech.slashdot.org/story/12/02/22/1659244/un-pushes-plan-to-assume-internet-governance-role

http://online.wsj.com/article/SB10001424052970204792404577229074023195322.html

http://www.theregister.co.uk/2012/02/22/fcc_wsj_itu/

http://boingboing.net/2012/02/21/fcc-commissioner-dont-let-t.html

Cybersecurity Act of 2012 ou S.2105

Après le Cybersecurity and Internet Freedom Act of 2011, voici une autre loi proposée aux parlementaires américains et destinés à mieux protéger l'ensemble de leurs systèmes d'informations, organisations...

Celui-ci, proposé par un sénateur dont le nom ne nous est pas inconnu, John D. "Jay" Rockefeller IV, met l'accent sur des sujets de préoccupation qui ne sont pas nouveaux mais qui agitent la communauté "cyber sec/def" aux Etats-Unis.

A noter d'ailleurs que si M. Rockefeller est un des supports de cette loi en tant que responsable d'une commission chargée notamment des questions technologiques, le texte semble avoir été déposée par M. Lieberman, un nom également connu pour les nombreuses initiatives législatives auxquelles il a participé et notamment le texte de 2011 cité ci-dessus.

On le voit donc, il existe un "landernau" du "cyber" chez les parlementaires américains, une information intéressante en elle-même mais qui n'étonne évidemment pas.

Sans avoir, je l'avoue, lu les dizaines et dizaines de pages de la prose mi-politique mi-juridique des projets de loi américain, il est possible de retenir deux éléments principaux de ce texte :

=> le DHS obtient un rôle accrue avec notamment celui de sécurisation des réseaux et son importance semble être confirmé par la hausse de sa dotation budgétaire que l'on évoquait dans un article précédent.

Il est également l'interface pour les déclarations d'incidents ou les problématiques que nous évoquions également dans des travaux précédents.

=> Il pilote aussi les phases et processus de partage et échange d'informations. Cette problématique structurelle parait parfois délicate à comprendre : il faut pour cela se souvenir que, selon l'article cité en source, il était expressément interdit par la loi à la CIA et au FBI d'échanger des informations avant 2001. Alors avec les partenaires du privé...

Lors d'un récent échange avec des passionnés du débat stratégique, il fut évoqué la question des causes d'un certain retard et d'un manque d'organisation en matière de sécurité aux Etats-Unis.

Une des hypothèses reposait notamment sur l'aspect sacralisé du territoire américaine même si les attentats auront changé en partie cet état de fait. La sacralisation était ainsi perceptible dans le refus absolu de l'intervention de certains agences sur ce même territoire et l'interdiction d'échanger qui leur était faite. La question de la sécurité "locale" est donc relativement récente aux Etats-Unis et d'ailleurs, le DHS doit être un des plus jeunes départements même si son gain constant de compétences est impressionnant.

A cela pouvait s'ajouter l'organisation fédérale qui pèse tout de même très lourd dans la balance, les pouvoirs locaux étant ainsi responsables d'un grand nombre de fonctions et susceptibles d'être des acteurs importants dans cet aspect de la sécurité. Par ailleurs, même si l'Etat fédéral semble ne pas avoir cesser de gagner des compétences (pouvoirs) depuis la création des USA, ce n'est pas pour autant qu'il détient, comme on l'évoquait, un contrôle fort et comparable à celui que l'on peut trouver dans un pays comme le nôtre sur des industries et des pouvoirs locaux...

Cet aspect de choses peut ainsi expliquer les difficultés de mises en oeuvre des lois "cyber" régulièrement votées et la nécessité d'y "revenir" ainsi chaque année, parfois plusieurs fois par an.

Source :

http://www.hsgac.senate.gov/download/the-cybersecurity-act-of-2012-s-2105

http://www.nextgov.com/nextgov/ng_20120217_5195.php

La Sécurité de l'information est-elle un échec ? Chronique N°4 - Spaghettis et complicités

A lire sur AGS : http://alliancegeostrategique.org/2012/02/21/la-securite-de-l%E2%80%99information-est-elle-un-echec-spaghettis-et-%E2%80%9Ccomplicites%E2%80%9D-internes/

Il s'agit du 4ème "épisode" de notre série, rédigé avec le blog ami Si-Vis Pacem entrepris après de nombreuses déclarations sur l'état, problématique, de la SSI en France dénoncé par de nombreux praticiens.

Nous avons eu envie de réfléchir aux causes profondes de cet état de fait et de vous livrer nos réflexions !

Les autres articles : le premier, le second et le troisième.